EN ISO 19011 - Austrian Standards plus

ÖNORM
EN ISO 19011
Ausgabe: 2013-10-01
Leitfaden zur Auditierung von Managementsystemen
(ISO 19011:2011)
Guidelines for auditing management systems
(ISO 19011:2011)
Lignes directrices pour l'audit des systèmes de management
(ISO 19011:2011)
AS+ Shop 16.01.2017
Medieninhaber und Hersteller
Austrian Standards Institute/
Österreichisches Normungsinstitut
Heinestraße 38, 1020 Wien
Copyright © Austrian Standards Institute 2013
Alle Rechte vorbehalten. Nachdruck oder Vervielfältigung, Aufnahme auf oder in sonstige Medien oder
Datenträger nur mit Zustimmung gestattet!
E-Mail: [email protected]
Internet: www.austrian-standards.at/nutzungsrechte
Verkauf von in- und ausländischen Normen und
Regelwerken durch
Austrian Standards plus GmbH
Heinestraße 38, 1020 Wien
E-Mail: [email protected]
Internet: www.austrian-standards.at
Webshop: www.austrian-standards.at/webshop
Tel.: +43 1 213 00-300
Fax: +43 1 213 00-818
ICS
Ident (IDT) mit
Ident (IDT) mit
03.120.10; 13.020.10
ISO 19011:2011-11 (Übersetzung)
EN ISO 19011:2011-11
Ersatz für
ÖNORM EN ISO 19011:2011-12
zuständig
Komitee 226
Instrumente für das Umweltmanagement
ÖNORM EN ISO 19011:2013
Nationales Vorwort
Die vorliegende ÖNORM EN ISO wurde ohne formelles Verfahren neu herausgegeben, da seitens des
CEN-CENELEC Management Centers im Jahr 2011 eine fehlerhafte deutschsprachige Fassung der
EN ISO 19011 ausgesandt wurde.
Folgende Änderungen wurden durchgeführt:
AS+ Shop 16.01.2017
Umfangreiche lexikalische und stilistische Änderungen im gesamten Dokument.
2
EN ISO 19011
EUROPÄISCHE NORM
EUROPEAN STANDARD
NORME EUROPÉENNE
November 2011
ICS 03.120.10; 13.020.10
Ersatz für EN ISO 19011:2002
Deutsche Fassung
Leitfaden zur Auditierung von Managementsystemen
(ISO 19011:2011)
Guidelines for auditing management systems
(ISO 19011:2011)
Lignes directrices pour l'audit des systèmes de
management (ISO 19011:2011)
Diese Europäische Norm wurde vom CEN am 5. November 2011 angenommen.
Die CEN-Mitglieder sind gehalten, die CEN/CENELEC-Geschäftsordnung zu erfüllen, in der die Bedingungen festgelegt sind, unter denen
dieser Europäischen Norm ohne jede Änderung der Status einer nationalen Norm zu geben ist. Auf dem letzten Stand befindliche Listen
dieser nationalen Normen mit ihren bibliographischen Angaben sind beim Management-Zentrum des CEN-CENELEC oder bei jedem CENMitglied auf Anfrage erhältlich.
Diese Europäische Norm besteht in drei offiziellen Fassungen (Deutsch, Englisch, Französisch). Eine Fassung in einer anderen Sprache,
die von einem CEN-Mitglied in eigener Verantwortung durch Übersetzung in seine Landessprache gemacht und dem ManagementZentrum mitgeteilt worden ist, hat den gleichen Status wie die offiziellen Fassungen.
CEN-Mitglieder sind die nationalen Normungsinstitute von Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich,
Griechenland, Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, den Niederlanden, Norwegen, Österreich, Polen,
Portugal, Rumänien, Schweden, der Schweiz, der Slowakei, Slowenien, Spanien, der Tschechischen Republik, Ungarn, dem Vereinigten
Königreich und Zypern.
AS+ Shop 16.01.2017
EUROPÄISCHES KOMITEE FÜR NORMUNG
EUROPEAN COMMITTEE FOR STANDARDIZATION
COMITÉ EUROPÉEN DE NORMALISATION
Management-Zentrum: Avenue Marnix 17, B-1000 Brüssel
© 2011 CEN
Alle Rechte der Verwertung, gleich in welcher Form und in welchem
Verfahren, sind weltweit den nationalen Mitgliedern von CEN vorbehalten.
Ref. Nr. EN ISO 19011:2011 D
EN ISO 19011:2011 (D)
Inhalt
Seite
Vorwort ................................................................................................................................................................3 Einleitung .............................................................................................................................................................4 1
Anwendungsbereich ................................................................................................................................7 2
Normative Verweisungen.........................................................................................................................7 3
Begriffe ......................................................................................................................................................7 4
Auditprinzipien........................................................................................................................................10 5
5.1
5.2
5.3
5.4
5.5
5.6
Leiten und Lenken eines Auditprogramms .........................................................................................11 Allgemeines.............................................................................................................................................11 Festlegen der Auditprogrammziele ......................................................................................................13 Festlegen des Auditprogramms............................................................................................................13 Umsetzen des Auditprogramms ...........................................................................................................16 Überwachen des Auditprogramms .......................................................................................................20 Bewerten und Verbessern des Auditprogramms ................................................................................20 6
6.1
6.2
6.3
6.4
6.5
6.6
6.7
Durchführung eines Audits ...................................................................................................................21 Allgemeines.............................................................................................................................................21 Veranlassen des Audits .........................................................................................................................22 Vorbereiten der Audittätigkeiten ...........................................................................................................23 Durchführen der Audittätigkeiten .........................................................................................................25 Erstellen und Verteilen des Auditberichts ...........................................................................................30 Abschließen des Audits .........................................................................................................................31 Durchführen von Auditfolgemaßnahmen ............................................................................................31 7
7.1
7.2
7.3
7.4
7.5
7.6
Kompetenz und Bewertung von Auditoren .........................................................................................32 Allgemeines.............................................................................................................................................32 Ermitteln der Kompetenz des Auditors, um die Erfordernisse des Auditprogramms zu erfüllen .32 Festlegen der Bewertungskriterien für Auditoren ..............................................................................36 Auswählen der geeigneten Bewertungsmethode für Auditoren .......................................................37 Durchführen der Auditor-Bewertung ....................................................................................................38 Erhalten und Verbessern der Kompetenz des Auditors .....................................................................38 Anhang A (informativ) Anleitung sowie anschauliche Beispiele für disziplin-spezifisches Wissen
und disziplin-spezifische Fertigkeiten von Auditoren ........................................................................39 Anhang B (informativ) Zusätzliche Anleitung für Auditoren zum Planen und Durchführen von Audits .45 AS+ Shop 16.01.2017
Literaturhinweise ..............................................................................................................................................53 2
EN ISO 19011:2011 (D)
Vorwort
Dieses Dokument (EN ISO 19011:2011) wurde vom Technischen Komitee ISO/TC 176 „Quality management
and quality assurance“ in Zusammenarbeit mit CCMC erarbeitet.
Diese Europäische Norm muss den Status einer nationalen Norm erhalten, entweder durch Veröffentlichung
eines identischen Textes oder durch Anerkennung bis Mai 2012, und etwaige entgegenstehende nationale
Normen müssen bis Mai 2012 zurückgezogen werden.
Es wird auf die Möglichkeit hingewiesen, dass einige Texte dieses Dokuments Patentrechte berühren können.
CEN [und/oder CENELEC] sind nicht dafür verantwortlich, einige oder alle diesbezüglichen Patentrechte zu
identifizieren.
Dieses Dokument ersetzt EN ISO 19011:2002.
Entsprechend der CEN/CENELEC-Geschäftsordnung sind die nationalen Normungsinstitute der folgenden
Länder gehalten, diese Europäische Norm zu übernehmen: Belgien, Bulgarien, Dänemark, Deutschland,
Estland, Finnland, Frankreich, Griechenland, Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg,
Malta, Niederlande, Norwegen, Österreich, Polen, Portugal, Rumänien, Schweden, Schweiz, Slowakei,
Slowenien, Spanien, Tschechische Republik, Ungarn, Vereinigtes Königreich und Zypern.
Anerkennungsnotiz
AS+ Shop 16.01.2017
Der Text von ISO 19011:2011 wurde vom CEN als EN ISO 19011:2011 ohne irgendeine Abänderung genehmigt.
3
EN ISO 19011:2011 (D)
Einleitung
Seit der ersten Ausgabe dieser Internationalen Norm im Jahre 2002 sind eine Reihe von ManagementsystemNormen veröffentlicht worden. Daher ist es notwendig, das Auditieren von Managementsystemen in einem
breiteren Umfang zu berücksichtigen, und es müssen Anleitungen bereitgestellt werden, die allgemeinerer
Natur sind.
2006 hat ISO/CASCO (committee for conformity assessment) ISO/IEC 17021 erarbeitet, die Anforderungen
für eine Drittparteien-Zertifizierung von Managementsystemen festlegt und die teilweise auf den Anleitungen,
die in der ersten Ausgabe dieser Internationalen Norm enthalten waren, basierte.
Die zweite Ausgabe der ISO/IEC 17021 aus dem Jahr 2011 wurde erweitert, um die in dieser Internationalen
Norm angebotenen Anleitungen in Anforderungen an Audits bei Managementsystem-Zertifizierungen umzuwandeln. In diesem Zusammenhang ist mit der zweiten Ausgabe dieser Internationalen Norm beabsichtigt, allen Nutzern, einschließlich kleinen und mittleren Organisationen, Anleitung zu geben und sich insbesondere
darauf zu konzentrieren, was allgemein als internes Audit (first party Audit) bezeichnet wird sowie Audits, die
durch den Kunden bei deren Lieferanten durchgeführt werden (Audit durch eine second party). Jene, die in
die Audits bei der Zertifizierung von Managementsystemen einbezogen sind und die den Anforderungen in
ISO/IEC 17021:2011 folgen, könnten auch Anleitungen in dieser Internationalen Norm nützlich finden.
AS+ Shop 16.01.2017
Die Beziehung zwischen dieser zweiten Ausgabe dieser Internationalen Norm und ISO/IEC 17021:2011 ist in
Tabelle 1 dargestellt.
4
EN ISO 19011:2011 (D)
Tabelle 1 — Anwendungsbereich dieser Internationalen Norm sowie deren Beziehung zur
ISO/IEC 17021:2011
Externes Auditieren
Internes Auditieren
Manchmal als first party Audit
bezeichnet
Lieferantenaudit
Manchmal als second party Audit
bezeichnet
Auditieren durch
unabhängigen Dritten
(third party Audit)
Für rechtliche, gesetzliche und
ähnliche Zwecke
Für Zertifizierungen (siehe auch
die Anforderungen in
ISO/IEC 17021:2011)
Diese Internationale Norm enthält keine Anforderungen, sondern gibt Anleitungen zum Leiten und Lenken eines
Auditprogramms, zum Planen und Durchführen eines Audits des Managementsystems sowie zur Kompetenz
und Bewertung eines Auditors sowie eines Auditteams.
Organisationen können mehr als ein formales Managementsystem betreiben. Zur Vereinfachung der Lesbarkeit
dieser Internationalen Norm wird bei „Managementsystem“ die Singular-Form bevorzugt. Der Leser kann allerdings die Umsetzung der Anleitungen auf seine spezielle Situation anpassen. Dies bezieht sich auch auf die
Anwendung der Termini „Person“ und „Personen“, „Auditor“ und „Auditoren“.
Diese Internationale Norm beabsichtigt, einen breiten Nutzerkreis anzusprechen, einschließlich Auditoren, Organisationen, die Managementsysteme einführen, sowie Organisationen, die aus vertraglichen oder rechtlichen
Gründen Audits von Managementsystemen durchführen müssen. Nutzer dieser Internationalen Norm können
hingegen diese Anleitung bei der Erarbeitung ihrer auditbezogenen Anforderungen verwenden.
Die Anleitungen in dieser Internationalen Norm können auch zum Zwecke der Selbsterklärung verwendet werden. Und sie können ebenfalls für Organisationen nützlich sein, die in die Auditorschulung oder in die Personenzertifizierung einbezogen sind.
Es ist beabsichtigt, die Anleitungen in dieser Internationalen Norm flexibel zu gestalten. Wie an verschiedenen
Stellen im Text angegeben, kann die Nutzung dieser Anleitung variieren entsprechend der Größe und dem Reifegrad des Managementsystems einer Organisation und der Art und der Komplexität der zu auditierenden Organisation sowie in Bezug auf die Ziele und den Umfang der durchzuführenden Audits.
Diese Internationale Norm stellt das Konzept von Risiken bei der Auditierung von Managementsystemen vor.
Der gewählte Ansatz bezieht sich sowohl auf das Risiko des Auditprozesses, seine Ziele nicht zu erreichen,
sowie auf die Möglichkeit der Beeinflussung des Audits durch die Tätigkeiten und Prozesse der zu auditierenden
Organisation. Sie gibt keine spezielle Anleitung zum Risikomanagementprozess der Organisation, erkennt aber
an, dass Organisationen bei Audits auf Fragen der Bedeutung für das Managementsystem eingehen können.
Diese Internationale Norm verfolgt den Ansatz, dass, wenn zwei oder mehrere Managementsysteme verschiedener Disziplinen zusammen auditiert werden, dies als kombiniertes Audit bezeichnet wird. Dort, wo diese Systeme in ein einziges Managementsystem integriert sind, sind die Auditprinzipien und -prozesse dieselben wie bei
einem kombinierten Audit.
AS+ Shop 16.01.2017
Abschnitt 3 enthält die wichtigsten Begriffe, die in diesem Dokument verwendet werden. Es wurden alle Anstrengungen unternommen, um sicherzustellen, dass diese Definitionen nicht im Widerspruch stehen mit jenen,
die in anderen Normen verwendet werden.
Abschnitt 4 beschreibt die Prinzipien, auf denen ein Audit basiert. Diese Prinzipien helfen dem Nutzer, die große
Bedeutung des Auditierens zu würdigen; und sie sind erforderlich, um die Anleitungen in den Abschnitten 5 bis 7
zu verstehen.
Abschnitt 5 gibt Anleitung für das Erstellen und das Leiten und Lenken eines Auditprogramms, einschließlich
Festlegen der Auditprogrammziele sowie das Koordinieren von Audittätigkeiten.
Abschnitt 6 gibt Anleitung zum Planen und Durchführen eines Audits eines Managementsystems.
5
EN ISO 19011:2011 (D)
Abschnitt 7 gibt Anleitung zur Kompetenz und Bewertung von Auditoren für Managementsysteme sowie von
Auditteams.
Anhang A veranschaulicht die Anwendung der in Abschnitt 7 gegebenen Anleitung auf verschiedene Disziplinen.
AS+ Shop 16.01.2017
Anhang B gibt zusätzliche Anleitung für Auditoren zum Planen und Durchführen von Audits.
6
EN ISO 19011:2011 (D)
1
Anwendungsbereich
Diese Internationale Norm gibt Anleitung zum Auditieren von Managementsystemen, einschließlich zu den
Auditprinzipien, zur Leitung und Lenkung eines Auditprogramms und zur Durchführung von Audits von
Managementsystemen sowie zur Bewertung der Kompetenz derer, die in den Auditprozess einschließlich in
die Leitung und Lenkung der Auditprogramme einbezogen sind — Auditoren und Auditteams.
Sie ist anwendbar auf alle Organisationen, die interne oder externe Audits von Managementsystemen durchführen oder für das Management eines Auditprogramms verantwortlich sind.
Die Anwendung dieser Internationalen Norm auf andere Arten von Audits ist möglich, vorausgesetzt, besondere Aufmerksamkeit wird der speziellen Kompetenz, die erforderlich ist, beigemessen.
2
Normative Verweisungen
Es werden keine normativen Verweisungen zitiert. Dieser Abschnitt ist enthalten, um identisch mit der Nummerierung bei anderen ISO-Normen für Managementsysteme zu bleiben.
3
Begriffe
Für die Anwendung dieses Dokuments gelten die folgenden Begriffe.
3.1
Audit
systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen (3.3) und zu
deren objektiver Auswertung, um zu ermitteln, inwieweit die Auditkriterien (3.2) erfüllt sind
ANMERKUNG 1
Interne Audits, manchmal auch first party Audits genannt, werden von der Organisation selbst oder in
ihrem Auftrag zur Managementbewertung und für andere interne Zwecke (z. B. um das beabsichtigte Funktionieren des
Managementsystems zu bestätigen oder um Informationen zur Verbesserung des Managementsystems zu erhalten)
durchgeführt. Interne Audits können die Grundlage für die eigene Konformitätserklärung (Selbsterklärung) der Organisation bilden. In vielen Fällen, insbesondere bei kleinen und mittleren Organisationen, lässt sich die in der Definition angesprochene Unabhängigkeit dadurch nachweisen, dass keine Verantwortung für die zu auditierenden Aktivitäten besteht
oder keine Vorurteile oder Interessenkonflikte vorliegen.
ANMERKUNG 2
Externe Audits schließen second oder third party Audits ein. Second party Audits werden von
Parteien, die ein Interesse an der Organisation haben, wie z. B. Kunden, oder von anderen Personen im Namen dieser
Parteien durchgeführt. Third party Audits werden von unabhängigen auditierenden Organisationen durchgeführt, wie z. B.
Behörden, oder von denjenigen, die zertifizieren.
ANMERKUNG 3
Wenn zwei oder mehrere Managementsysteme unterschiedlicher Disziplinen (z. B. Qualität, Umwelt,
Arbeitsschutz und Arbeitssicherheit) zusammen auditiert werden, wird dies als kombiniertes Audit bezeichnet.
ANMERKUNG 4
Wenn zwei oder mehrere auditierende Organisationen zusammenarbeiten, um eine einzelne Organisation (3.7) zu auditieren, wird dies als gemeinschaftliches Audit bezeichnet.
ANMERKUNG 5
In Anlehnung an ISO 9000:2005, Definition 3.9.1.
3.2
Auditkriterien
Verfahren, Vorgehensweisen oder Anforderungen, die als Bezugsgrundlage (Referenz) verwendet werden,
anhand derer ein Vergleich mit dem Auditnachweis (3.3.) erfolgt
AS+ Shop 16.01.2017
ANMERKUNG 1
In Anlehnung an ISO 9000:2005, Definition 3.9.3.
ANMERKUNG 2
Wenn die Auditkriterien rechtliche (einschließlich gesetzliche und behördliche) Anforderungen darstellen, werden in einer Auditfeststellung (3.4) oft die Benennungen „compliant“ oder „noncompliant“ verwendet.
3.3
Auditnachweis
Aufzeichnungen, Tatsachenfeststellungen oder andere Informationen, die für die Auditkriterien (3.2) zutreffen und verifizierbar sind
7